Развертывание политик AppLocker с помощью параметра применения правил

  • Статья

В этом разделе для ИТ-специалистов описываются шаги по развертыванию политик AppLocker с помощью метода настройки принудительного применения.

Общие сведения и необходимые условия

Эти процедуры предполагают, что вы уже развернули политики AppLocker с принудительным применением, для которого установлено значение Только аудит, и что вы собирали данные с помощью журналов событий AppLocker и других каналов для определения влияния этих политик на вашу среду и соответствие политики модели управления приложением.

Подробнее о параметре принудительного применения политики AppLocker см. в разделе Общие сведения о параметрах принудительного применения AppLocker.

Сведения о том, как спланировать развертывание политики AppLocker, см. в Руководстве по проектированию для AppLocker.

Шаг 1. Получение политики AppLocker

Обновление политики AppLocker, которая в настоящее время принудительно применяется в вашей рабочей среде, может иметь непредвиденные результаты. С помощью групповой политики вы можете экспортировать политику из объекта групповой политики (GPO), а затем обновить правило или правила с помощью AppLocker на компьютере-образце и тестовом компьютере AppLocker. Соответствующую процедуру см. в разделах Экспорт политики AppLocker из GPO и Импорт политики AppLocker в GPO. Для локальных политик AppLocker вы можете обновить правило или правила с помощью оснастки локальной политики безопасности (secpol.msc) на компьютере-образце или тестовом компьютере AppLocker. Примеры процедур приведены в разделах Экспорт политики AppLocker в XML-файл и Импорт политики AppLocker из другого компьютера.

Шаг 2. Изменение параметра принудительного применения

Принудительное применение правил относится только к коллекции правил, а не к отдельным правилам. AppLocker делит правила на коллекции: исполняемые файлы, файлы установщика Windows, упакованные приложения, сценарии и файлы библиотек DLL. По умолчанию, если принудительное применение не настроено и правила присутствуют в коллекции, эти правила применяются принудительно. Сведения о настройке принудительного применения см. в разделе Общие сведения о параметрах принудительного применения AppLocker. Процедура изменения параметра принудительного применения описана в разделе Настройка политики AppLocker только для аудита.

Шаг 3. Обновление политики

Изменение политики AppLocker производится путем добавления, изменения или удаления правил. Однако нельзя указать версию политики AppLocker, импортировав дополнительные правила. Для обеспечения управления версиями при изменении политики AppLocker используйте ПО для управления групповыми политиками, которое позволяет создавать версии GPO. Примером такого вида программного обеспечения служит функция расширенного управления групповыми политиками в пакете Microsoft Desktop Optimization Pack.

Внимание  

Не следует изменять набор правил AppLocker, пока он применяется в групповой политике. Поскольку AppLocker управляет тем, какие файлы, могут быть запущены, при внесении изменений в действующую политику может возникнуть непредвиденное поведение.

 

Процедура обновления GPO описана в разделе Импорт политики AppLocker в GPO.

Процедуры для распространения политик на локальные компьютеры с помощью оснастки локальной политики безопасности (secpol.msc) см. в разделах Экспорт политики AppLocker в XML-файл и Импорт политики AppLocker из другого компьютера.

Шаг 4. Мониторинг влияния политики

После развертывания политики важно осуществлять мониторинг фактической реализации данной политики. Это можно сделать с помощью мониторинга деятельности, связанной с запросами доступа к приложению вашей организации поддержки, и просмотра журналов событий AppLocker. Для мониторинга влияния политики см. раздел Мониторинг использования приложения с помощью AppLocker.

Дополнительные ресурсы